互联网平台提供的服务范围越来越广,网民授权平台的个人信息也不断增多,个人信息保护已成为社会关注的重点问题。近年来,数据安全、个人信息保护等相关法律法规陆续出台,社会各届也不断呼吁明确平台方的法定责任和义务。互联网平台正面临更高的信息安全要求。
记者从蚂蚁集团消保专项“蚂蚁315”处了解到,近日蚂蚁集团已出台《生态合作伙伴安全管理规范》,加强合作伙伴数据安全管理,对从蚂蚁旗下相关平台获取授权用户个人信息的商户、服务商、合作机构等明确数据安全能力标准,包括应指定数据安全负责人、留存日志、采用加密技术存储等,更好地保障用户个人信息安全和合法权益。
比如在支付宝平台上,使用第三方快递公司提供的小程序,为向用户提供更优质的服务,快递公司会基于自身服务需要,向用户申请授权,使用如地址、手机号等个人信息。
这一规范以个人信息授权用户数或服务商接入商户数为标准,明确合作伙伴安全能力分级,从组织管理与机制、数据安全管理、系统安全、网络安全、终端安全、安全运营六个维度制定相应评估要求,如合作伙伴必须建立必要的数据安全管理制度、周期性参与蚂蚁组织的安全评估工作、发生数据安全事件时有完整的应急处置机制等。
其中,个人信息授权用户数超过100万的合作伙伴将受到更严格的评估约束。如必须指定数据安全负责人;每年参与安全评估;采用安全通道、通道加密、数据加密等措施保护数据;采用国家认可的加密算法及认证产品;应用、系统、数据等涉及个人信息操作的场景,必须记录日志并保存,存储周期5年以上等。
如合作伙伴未按时完成安全评估,或不满足最新安全能力要求,其个人信息接口权限及相关服务将受到影响。如合作伙伴在合作过程中,存在违规行为,视情况给予处罚,严重者隐藏或终止相关业务。
据悉在多年前,蚂蚁就已设立一套完整的数据安全治理体系,在产品评审、数据调用、数据留存各个环节形成严格规范,遵循“用户明确授权原则”和“最小化原则”采集、留存和使用数据,并在“用户保护中心”提供授权管理功能,方便用户及时解绑不需要的授权。此次推出规范是在原有治理体系基础上,进一步明确合作伙伴的数据安全管理标准。
(用户明确授权后,商家才可获取用户信息)
根据“蚂蚁315”此前发布的2021年度报告,过去一年,蚂蚁还在多个方面强化用户信息安全保护,如上线简要版隐私权政策、优化个性化推荐及个性化广告关闭入口、设置外部监督独立机构等。
